СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
4 марта
#ИБ

Forbidden Hyena: BlackReaperRAT и шифровальщик Milkyway

BI.ZONE Threat Intelligence обнаружила значительную активность со стороны Forbidden Hyena преступная хакерская группировка в конце 2025 — начале 2026 года, в результате чего была представлена новая Троянская программа для удаленного доступа (RAT) под названием BlackReaperRAT и модифицированная версия программы‑вымогателя Blackout Locker, которая теперь переименована в Milkyway.

Кратко: группа Forbidden Hyena внедрила в кампании вредоносное ПО двух ключевых типов — новый RAT BlackReaperRAT и модернизированный рансомвар Milkyway (ранее Blackout Locker). Оба образца демонстрируют развитые механизмы закрепления, взаимодействие с C2 через защищённые каналы и сложные приёмы уклонения от обнаружения. Отдельно отмечены инструменты для постэксплуатации и скрипты, в том числе PowerShell/Bash и скрипты с признаками применения методов машинного обучения.

Ключевые выводы

  • BlackReaperRAT распространяется в RAR‑архивах, содержащих пакетный скрипт 1.bat, который запускает VBS‑скрипт 1.vbs. VBS загружает RAT и вводящий в заблуждение документ для отвлечения пользователя.
  • BlackReaperRAT реализован как запутанный VBS‑скрипт; при выполнении генерируется уникальный идентификатор BotID, который сохраняется в каталоге данных пользовательского приложения.
  • Механизмы закрепления включают модификации registry и регистрацию задач в Windows Task Scheduler с наивысшими привилегиями для обеспечения автозапуска.
  • Командование и контроль у BlackReaperRAT реализовано через HTTPS с использованием канала Telegram для получения команд и отправки системной информации (имена пользователей, временные метки и пр.).
  • Рансомвар Milkyway применяет шифрование AES‑128, переименовывая файлы с расширением .milkyway, рекурсивно сканирует тома для шифрования и отключает ключевые службы Windows для препятствия восстановлению и противодействия средствам безопасности.
  • Forbidden Hyena использует набор скриптов PowerShell и Bash, некоторые из которых, по наблюдениям, модифицировались с применением методов машинного обучения для повышения маскировки.
  • В арсенале атакующих — сценарии для извлечения конфиденциальных данных из файлов баз данных безопасности, установки ПО удалённого доступа (например, AnyDesk) и создания новых учётных записей с правами администратора.

Технические детали распространения и закрепления BlackReaperRAT

Распространение начинается с RAR‑архива, в котором находится пакетный файл 1.bat. Он служит для запуска VBS‑скрипта 1.vbs, реализующего цепочку загрузки: скачивание RAT и открытого или фальсифицированного документа, чтобы отвлечь внимание пользователя. Сам RAT — это обфусцированный VBS‑скрипт, который при первом запуске генерирует уникальный BotID и сохраняет его в AppData для «идентификации» на стороне оператора.

Для обеспечения устойчивого присутствия BlackReaperRAT использует несколько подходов к закреплению:

  • правки реестра (registry) для создания автозапуска при старте системы;
  • создание задач в Windows Task Scheduler с высокими привилегиями;
  • возможная установка дополнительных компонентов для длительного доступа.

Командование и управление — канал Telegram поверх HTTPS

BlackReaperRAT взаимодействует с инфраструктурой C2 по протоколу HTTPS, используя канал Telegram для получения команд и возврата сведений о системе (включая имена пользователей и временные метки). Такой подход даёт операторам удобный и устойчивый канал связи, маскируемый под легитимный трафик.

Milkyway — что нового в модифицированном рансомваре

Новый вариант рансомвара, получивший название Milkyway (ранее Blackout Locker), демонстрирует следующие характеристики:

  • шифрование файлов с использованием AES‑128 и переименование заблокированных файлов с расширением .milkyway;
  • рекурсивный поиск по томам хранилища для максимального охвата файлов;
  • выключение ключевых служб Windows для затруднения восстановления и противодействия решениям безопасности;
  • оптимизация процессов шифрования для повышения эффективности атаки.

Инструменты, тактики и методы (TTP)

Кроме основных бинарных семей, атакующая группа применяет:

  • скрипты PowerShell и Bash для проникновения и пост‑эксплуатации;
  • модифицированные скрипты с признаками использования machine learning для усложнения обнаружения;
  • сценарии извлечения секретов из файлов баз данных безопасности;
  • установку ПО удалённого доступа (например, AnyDesk) для долгосрочного доступа;
  • создание новых локальных/доменных учётных записей с правами администратора.

Что это значит для организаций

Активность Forbidden Hyena указывает на сочетание целенаправленных фишинговых/специально подготовленных рассылок и грамотной пост‑эксплуатации. В результате организации рискуют потерять доступ к данным из‑за шифрования Milkyway, а также получить скрытое долговременное присутствие через инструменты вроде BlackReaperRAT и AnyDesk.

Рекомендации (общие, исходя из обнаруженных TTP)

  • Ограничить и проверять поступающие архивы (RAR) и исполняемые вложения; блокировать запускаемые скрипты из нежелательных источников.
  • Контролировать и отслеживать создание новых записей автостарта в registry и появление новых задач в Windows Task Scheduler.
  • Мониторить сетевой трафик на предмет аномалий HTTPS и соединений с подозрительными Telegram‑каналами; при необходимости блокировать нежелательные домены/каналы на периметре.
  • Проверять наличие сторонних удалённых клиентов (AnyDesk) и ограничивать их использование политиками.
  • Обеспечить актуальные резервные копии и проверяемые процедуры восстановления, а также сегментацию сети для ограничения распространения шифрования.
  • Использовать EDR/IDS для выявления обфусцированных скриптов VBS/PowerShell и атипичных действий, связанных с генерацией идентификаторов и массовым доступом к файлам.

Комментарий: обнаруженные образцы и тактики свидетельствуют о высокой технической подготовке операционных групп и гибридном использовании автоматизированных скриптов и ручных действий. Внимание к контролю почтового трафика, мониторингу автозапуска и анализу скриптов остаётся критически важным для предотвращения инцидентов подобного рода.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: